Supporting Open Source weblog

Supercharge Your Wireless Router With Open Firmware

Paul Verreth — Wed, 05 Mar 2008 08:51:00 +0100

Interessant artikel van Wired.

Upgrade je huis-, tuin- en keuken wireless router met functionaliteiten van dure high-end routers.

Zie ook: DD-WRT en Tomato Firmware

Supported Devices

Features

Time Machine op een netwerkschijf

Paul Verreth — Wed, 30 Jan 2008 22:06:00 +0100

Time Machine op een networkdrive is eigenlijk niet voorzien, maar met een paar eenvoudige commando’s is daar makkelijk een mouw aan te passen.

Aanpassen van de “user defaults”
Plaatsen van een hidden file op de network drive

In een terminal:

defaults write com.apple.systempreferences TMShowUnsupportedNetworkVolumes 1

touch /Volumes/NetWorkDrive/.com.apple.timemachine.supported

Time Machine zal nu lukken.

Netwerk interface vast instellen op gigabit full duplex

Paul Verreth — Wed, 30 Jan 2008 21:29:00 +0100

Met ethtool kan je de instellingen van een netwerkinterface wijzigen.

ethtool -s eth0 speed 1000 duplex full autoneg off

Dit is duidelijk genoeg, en dit is het resultaat:

ethtool eth0
Settings for eth0:
        Supported ports: [ TP ]
        Supported link modes:   10baseT/Half 10baseT/Full 
                                100baseT/Half 100baseT/Full 
                                1000baseT/Half 1000baseT/Full 
        Supports auto-negotiation: Yes
        Advertised link modes:  10baseT/Half 10baseT/Full 
                                100baseT/Half 100baseT/Full 
                                1000baseT/Half 1000baseT/Full 
        Advertised auto-negotiation: Yes
        Speed: 1000Mb/s
        Duplex: Full
        Port: Twisted Pair
        PHYAD: 0
        Transceiver: internal
        Auto-negotiation: off
        Supports Wake-on: pg
        Wake-on: g
        Current message level: 0x00000037 (55)
        Link detected: yes

Maar de instellingen zijn niet permanent. Om ze permanent te maken bij het herstarten of bij het opbrengen van de interface kan je best /etc/network/interfaces aanpassen. Een pre-up lijn toevoegen.

iface eth0 inet static
pre-up /usr/sbin/ethtool -s $IFACE speed 1000 duplex full autoneg off
address 123.456.789.123
netmask 255.255.255.0
gateway 123.456.789.254

...
...

Virus en spam filtering mail server

Gert Dewit — Fri, 28 Dec 2007 17:55:00 +0100

Zoals voorzien installeer ik vandaag op onze nieuwe CentOS server een betrouwbare virus- en spamfiltering mail server.

Overzicht

Naar de buitenwereld toe zijn er 2 poorten beschikbaar: de standaard SMTP poort 25 waar de inkomende mail afgeleverd wordt en de standaard IMAPS poort 993 waar de mail wordt opgehaald door de gebruikers. De postfix instantie die de berichten van de buitenwereld ontvangt zorgt ervoor dat de server niet als open relay kan gebruikt worden en voert enkele rudimentaire checks uit om ongewenste mail al aan de bron weg te filteren. Daarna geeft deze de mail door aan amavis. Amavis zorgt vervolgens voor de virus- en spamfiltering door gebruik te maken van spamassassin en ClamAV. Als de mail aanvaardbaar is wordt deze via de interne Postfix instantie die op poort 10025 luistert afgeleverd in de mailbox van de gebruiker.

Basis installatie

Onze nieuwe mail server gebruikt zoals gezegd postfix als MTA. Standaard wordt op CentOS echter sendmail als MTA geïnstalleerd. De gemakelijkste manier om van MTA te switchen op een RedHat gebaseerd systeem is door de system-switch-mail en de postfix packages te installeren. Door het system-switch-mail script uit te voeren en voor postfix te kiezen worden alle mail gerelateerde opdrachten via postfix uitgevoerd. De vorige keer dat ik een gelijkaardige server opgezet heb had ik de packages die niet bij de distributie zaten zelf gecompileerd en gepackaged tot installeerbare RPMs. Ondertussen is dat niet meer nodig dankzij het goede werk van de rpmforge jongens. Om de rpmforge packages te gebruiken in yum (of apt) installeer je de rpmforge-release package die bij je distributie past. Na de manuele installatie van deze package kan je de andere packages met yum installeren net zoals de packages die door je distributie aangeboden worden. Met deze yum opdracht installeren we alles wat nodig is voor onze mail server:

# yum install amavisd-new clamav clamd razor-agents

Alle bijbehorende dependencies worden ook aangeboden om te installeren. Er is echter 1 package die ik wil gebruiken die noch op de distributie repositories, noch op de rpmforge repository beschikbaar is. De pyzor package installeer ik manueel nadat ik hem gedownload heb van de fedora repository. Nu alle benodigde packages geïnstalleerd zijn zorg ik via

# yum update

ervoor dat de laatste versies van alle packages gebruikt worden. Op de rpmforge repository zijn namelijk oa updates van spamassassin aanwezig die nieuwe zijn dan deze van CentOS. Gezien de snelheid waarmee de spammers hun technieken evolueren is het zaak om ook de tools om de spammers te bestrijden zo recent mogelijk te houden.

Dovecot configuratie

Net na de installatie wou dovecot niet opstarten. In /var/log/maillog verscheen de boodschap:

dovecot: imap-login: imap-login: error while loading shared libraries: libsepol.so.1: failed to map segment from shared object: Cannot allocate memory

Een google search leerde mij dat de standaard config van dovecot niet werkt op een x86_64 architectuur. De fix was simpelweg om in /etc/dovecot.conf deze lijn toe te voegen:

login_process_size = 64

Aangezien we niet van plan zijn om een ander protocol te gebruiken dan imaps beperken we de protocols dan ook door dit aan te geven in /etc/dovecot.conf:

protocols = imaps

Omdat we mailboxen in het Maildir formaat gebruiken kunnen we dat best ook zo aangeven:

mail_location = maildir:~/Maildir

ClamAV configuratie

De clamd standaard configuratie zoals ze gepackaged is door de mensen van rpmforge is bijna onmiddellijk bruikbaar. Het enige dat ik extra configureer omdat de communicatie van amavis naar clamd via een socket file verloopt is het pad naar deze socket file in /etc/clamd.conf:

LocalSocket /var/run/clamav/clamd.socket

Aangezien de “AllowSupplementaryGroups yes” configuratie reeds gebeurd is hoeven we daar niets extras voor te doen buiten de clamav gebruiker aan de amavis groep toe te voegen:

usermod -G amavis clamav

Pyzor configuratie

Om pyzor te kunnen gebruiken als anti spam maatregel moeten we dit correct configureren voor de amavis gebruiker aangezien deze spamassassin en dus ook pyzor zal uitvoeren. De configuratie beperkt zich tot:

# su - amavis
$ pyzor discover

Als alles goed verlopen is bestaat er nu in de home directory van de amavis gebruiker een subdirectory .pyzor met een servers bestand erin. Of deze servers ook bereikbaar zijn kan getest worden met:

$ pyzor ping
82.94.255.100:24441     (200, 'OK')

Razor configuratie

We maken een default razor configuratie aan met:

# su - amavis
$ razor-admin -create
$ razor-admin -register

Vervolgens verlagen we de debug boodschappen door in /var/amavis/.razor/razor-agent.conf de debuglevel parameter te wijzigen in:

debuglevel = 0

Amavis configuratie

De amavis configuratie van de rpmforge package is op enkele kleine aanpassingen na perfect voor onze mail server. Tijdens de eerste weken willen we echter wat voorzichtig zijn met het klasseren van spam en willen we de spam scores goed kunnen monitoren. Daarom zorgen we ervoor dat elke boodschap een spam score header meekrijgt:

$sa_tag_level_deflt  = undef

Aangezien wij ClamAV gebruiken als virusscanner vervangen we de @av_scanners en @av_scanners_backup secties door:

@av_scanners = (
['ClamAV-clamd',
  \&ask_daemon, ["CONTSCAN {}\n", "/var/run/clamav/clamd.socket"],
  qr/\bOK$/, qr/\bFOUND$/,
  qr/^.*?: (?!Infected Archive)(.*) FOUND$/ ],
);

@av_scanners_backup = (
  ['ClamAV-clamscan', 'clamscan',
    "--stdout --no-summary -r --tempdir=$TEMPBASE {}",
    [0], qr/:.*\sFOUND$/, qr/^.*?: (?!Infected Archive)(.*) FOUND$/ ],
);

De bestandsnaam van de socket file zoals we die in /etc/clamd.conf meegegeven hebben moet dezelfde zijn als deze die hier geconfigureerd is. Als clamd voor een onbekende reden down is of niet antwoordt, wordt de command line scanner clamscan gebruikt.

Postfix configuratie

Nu alle backend mail filtering geconfigureerd is moeten we de postfix queues configureren zoals in het overzicht beschreven is. Dit doen we door in /etc/postfix/main.cf een content filter te definiëren:

content_filter = smtp-amavis:[127.0.0.1]:10024

Voor de uiteindelijke afevering van de berichten hebben we nog een extra postfix instantie nodig die we in /etc/postfix/master.cf configureren:

### anti spam and anti virus
smtp-amavis unix -      -       n       -       2       smtp
  -o smtp_data_done_timeout=1200
  -o disable_dns_lookups=yes
127.0.0.1:10025 inet n  -       n       -       -       smtpd
  -o content_filter=
  -o local_recipient_maps=
  -o relay_recipient_maps=
  -o smtpd_restriction_classes=
  -o smtpd_client_restrictions=
  -o smtpd_helo_restrictions=
  -o smtpd_sender_restrictions=
  -o smtpd_recipient_restrictions=permit_mynetworks,reject
  -o mynetworks=127.0.0.0/8

De tweede postfix instantie die op poort 10025 luistert doet dit enkel voor localhost en aanvaardt enkel mail vanuit de zeer restrictieve mynetworks 127.0.0.1/8. De content_filter wordt leeg doorgegeven om ervoor te zorgen dat de berichten niet weer aan amavis doorgegeven worden. Het enige wat nu nog rest is de postfix instantie op poort 25 ook op de externe netwerk interface te laten luiteren want standaard is postfix op CentOS zo geconfigureerd om enkel connecties van loaclhost te aanvaarden. Als er slecht 1 externe interface aanwezig is of indien de smtpd op alle externe interfaces moet luiteren volstaat het om de actieve inet_interfaces lijn uit te commentariëren in /etc/postfix/main.cf:

#inet_interfaces = localhost

De volgende lijnen in /etc/postfix/main.cf zorgen ervoor dat de mail server niet als open relay kan gebruikt worden:

myhostname = mail.sos.be
myorigin = $mydomain
mydestination = $myhostname, $mydomain, localhost.$mydomain, localhost
mynetworks = 127.0.0.0/8

De laatste postfix configuratie parameter die we gewijzigd hebben tov het standaard CentOS configuratie bestand zorgt ervoor dat de mail in Maildir formaat afgeleverd wordt:

home_mailbox = Maildir/

CentOS mail server

Gert Dewit — Thu, 27 Dec 2007 09:33:00 +0100

Vandaag de nieuwe server geïnstalleerd met CentOS 5.1. Na heel wat overleg werd beslist om CentOS als OS te gebruiken voor onze laatst aangeschafte server. De belangrijkste reden waardoor we uiteindelijk voor CentOS kozen is dat kennis van RedHat gebaseerde Linux distributies bij alle betrokkenen aanwezig is. Op onze andere servers draait Fedora maar deze distributie evolueert toch te snel naar onze zin voor een stabiele server. CentOS dat eigenlijk een gerepackagede RedHat Advanced Server is, biedt de stabiliteit van deze laatste zonder het bijbehorende onderhoudscontract. Een RedHat onderhoudscontract is trouwens voor onze organisatie weggegooid geld gezien de hoge graad van Linux en Unix expertise die aanwezig is bij alle medewerkers. De basis installatie werd in het datacenter uitgevoerd met behulp van de CentOS 5.1×86_64 Netinstall CD. Dit is een minimale download (7,6 MB) vanwaar de installatie over het net kan gestart worden. Het is dus wel belangrijk dat alle netwerkconnectie gegevens zoals IP adres, gateway, DNS server, CentOS mirror server en het pad naar de installatiebestanden gekend zijn. Na het installeren van een minimaal systeem met enkel een werkende ssh toegang was ik blij om de lawaaierige computerzaal te kunnen verlaten. Uiteindelijk wordt dit onze mail server met een betrouwbare virus- en spamfilter, maar dat kan ik allemaal remote afwerken.

Nederland open in verbinding

Paul Verreth — Mon, 17 Dec 2007 09:59:00 +0100

De Nederlandse Tweede Kamer heeft een actieplan goedgekeurd dat bij alle overheidsdiensten de open documentstandaarden moet implementeren. Het plan zou niet op België zijn geïnspireerd, maar de gelijkenissen zijn treffend.

Aanbieding actieplan Nederland open in verbinding: actieplan voor het gebruik van open standaarden en open source software bij de (semi-) publieke sector

Meer info:

Operational security, impact on developing secure applications

Paul Verreth — Sat, 15 Dec 2007 18:24:00 +0100

Presentatie op OWASP door Patrick Debois

Download pdf

Lost use cases of operations

Paul Verreth — Sat, 15 Dec 2007 18:09:00 +0100

Javapolis 2007

Presenatie “Lost use cases of operations” door Patrick Debois

Mythtv: Instellen van de kanalen en de elektronische programma gids (EPG) met gebruik van jxmltv

Paul Verreth — Sat, 16 Jun 2007 16:18:00 +0200

jxmltv

jxmltv is een uitstekende xmltv grabber, gericht op de Belgische zenders, zowel NL- als FR-talig.

Dit programma is java gebaseerd, en is in staat om alle programmavelden op te halen zoals titel, afleveringstitel, inhoud, acteurs, categorie, icoon van de zenders, ..., en nog heel wat meer.

Er zijn enkele configuratiebestandenmeegeleverd, die elk verwijzen naar een bron van de programmaroosters. We gebruiken jxmltv.be.tvb.properties.

Enkele instellingen hierin:

Je kan bijvoorbeeld bepaalde zenders uitschakelen om te vermijden dat er teveel overbodige data moete worden gedownload.

channel.enable.ned1=true
channel.enable.ned2=true
channel.enable.ned3=true
channel.enable.net5=false
channel.enable.nickelodeon=true
channel.enable.playboytv=false
channel.enable.primeaction=false
channel.enable.primefezztival=false
channel.enable.primemovies=false
channel.enable.primeone=false
channel.enable.primesport1=false
channel.enable.raiuno=false
channel.enable.realitytv=false

Dit geeft een mapping voor kanalen met meerdere namen zoals Canvas/Ketnet

channel.name.map.Canvas=Ketnet/Canvas
channel.id.map.canvas=ketnet/canvas
channel.name.map.Ketnet=Ketnet/Canvas
channel.id.map.ketnet=ketnet/canvas

Kanaalinfo downloaden

Met volgend commando wordt enkel de kanaalinfo gedownload, dus nog zonder programma informatie. be.tvb verwijst naar de configfile.

java -jar jxmltv.jar be.tvb -download.days=0

Het resultaat is xmltv.xml, die dan kan dienen voor mythfilldatabase.

mythfilldatabase

mythfilldatabase  --preset --file 2 -1 xmltv.xml

Hiermee wordt de initiële kanaalinfo in de mythtv database ingeladen.

Nu kan je merken dat de kanalen beschikbaar zijn, maar dat de frequentie nog moet ingegeven worden. Hiervoor kan je het best mythweb gebruiken, want makkelijker en sneller dan myth-setup. Het is makkelijk te downloaden met synaptic.

In mythweb: instellingen -> zenderinfo

De frequentie kan je vinden bij zenderinfo (zie lager). Maar opgelet je moet de waardes wel omzetten: Als er bijvoorbeeld staat voor Canvas 203,25, moet je dat omzetten in mythweb naar 203250.

En zo moet je dat doen voor elke zender.

EPG: programmagids inladen

Van zodra de kanalen correct zijn ingesteld, en je dus life tv kan kijken, kan je ook de EPG-info inladen.

Zenderinfo

Telenet

Startup script for Typo

Paul Verreth — Mon, 26 Mar 2007 08:30:00 +0200

This is an init script you can use so that typo will be started after an system reboot. Using chkconfig, it wil be activated in the runlevel system (/etc/rc[0-6].d)

Also see: Installing typo with the installer

#!/bin/bash
#
#       /etc/rc.d/init.d/typo_sos
#
# Start typo blogging engine
#
# chkconfig: - 65 35
# description: Typo blogging engine
# processname: typo
# Source function library.
. /etc/init.d/functions

TYPO=/usr/bin/typo
TYPODIR=/var/www/your-website-directory/blog

test -x $TYPO || exit 0

RETVAL=0
prog="Typo blogging engine" 

start() {
        echo -n $"Starting $prog: " 
        cd $TYPODIR
        $TYPO start $TYPODIR
        RETVAL=$?
        echo
}

stop() {
        echo -n $"Stopping $prog: " 
        cd $TYPODIR
        $TYPO stop $TYPODIR
        RETVAL=$?
        echo
}

#
#       See how we were called.
#
case "$1" in
  start)
        start
        ;;
  stop)
        stop
        ;;
  restart)
        stop
        start
        RETVAL=$?
        ;;
  *)
        echo $"Usage: $0 {start|stop|restart}" 
        exit 1
esac

exit $RETVAL

chkconfig

On fedora you can use chkconfig to activate the startup script. Please also read the chkconfig man page.

To be manageable by chkconfig, the script needs a special section, an example follows:

# chkconfig: - 65 35
# description: Typo blogging engine
# processname: typo

Active? And in wich runlevels?

chkconfig --list typo_sos
service typo_sos supports chkconfig, but is not referenced in any runlevel (run 'chkconfig --add typo_sos')

So it is added, but not yet activated:

chkconfig --add typo_sos
chkconfig --list typo_sos
typo_sos        0:off   1:off   2:off   3:off   4:off   5:off   6:off

And, to activate:

chkconfig typo_sos on

chkconfig --list typo_sos
typo_sos        0:off   1:off   2:on    3:on    4:on    5:on    6:off